Et engangspassord er en kode som kun kan brukes én gang for å få tilgang til en tjeneste, et nytt engangspassord må genereres for å kunne logge på igjen. Engangspassordet kan genereres på en rekke måter som en mobilapplikasjon, et fysisk sikkerhetstoken, en SMS og mer. Disse tokenene er normalt gyldige i en kort tidsperiode før de oppdateres og erstattes med et nytt token.
Technipages forklarer engangspassord
Ved å kreve et engangspassord som en andre faktor, styrkes sikkerheten på to måter: For det første må en angriper nå både kjenne passordet og ha tilgang til riktig engangspassord. For det andre, hvis angriperen er i stand til å utføre en mann i midten-angrepet og kompromittere passordet og engangspassordet, vil ikke engangspassordet være gyldig for en annen gangs bruk i et replay-angrep.
Engangspassordsystemer er relativt billige og generelt gratis for sluttbrukeren, avhengig av produktet, selv om bedrifter kan betale for ansattes lisenser. Tjenester som bruker en mobilapplikasjon eller SMS er normalt gratis for brukere, tjenester med et fysisk sikkerhetstoken som RSA-token har en tilhørende kostnad.
Bruken av SMS som den andre faktoren i tofaktorverifiseringsprosessen, forutsatt at engangspassordet har en liten risiko da det er måter for meldinger å bli fanget opp og brukt av en angriper selv om disse angrepene er ganske kompleks. Sikkerhetsfellesskapet anbefaler generelt at SMS er bedre enn å ikke bruke et sekundært engangspassord, men at andre plattformer generelt er sikrere og bør foretrekkes.
Vanlig bruk av engangspassord
- Maskinvaresikkerhetstokener implementerer vanligvis et tidssynkronisert engangspassord
- Noen banker sender et utskrevet engangspassord til nye brukere av nettbanksystemene deres.
- Oftere enn ikke er engangspassord en del av et tofaktorautentiseringssystem.
Vanlige misbruk av engangspassord
- Engangspassord brukes kun for engangskontoer.